Salutare,
Intr-un mediu virtual de test am 5 VM-uri cu CentOS: P1, P2, P3 - provideri de net GW - configurat cu 3 tabele de rutare iproute2 HOST - in "spatele" GW-ului, incerc sa-l rutez prin P3 am configurat un policy based routing relativ basic. Sa zicem ca am 2 provideri de net P1 si P2 la care am configurat fail-over si un al treilea "provider" P3. Intre P3 si GW e configurat un vpn (OpenVPN) prin care vreau sa trimit traficul de la un anumit ip, indiferent daca P1 sau P2 sunt alive. Chestiunea cu fail-over intre P1 si P2 e rezolvata, durerea intervine la rutarea traficului prin P3. Dintr-un anumit motiv pentru care nu gasesc inca explicatie, source based routing-ul functioneaza (pachetele sunt trimise prin vpn pe GW), dar nu ajung in celelalt capat (P3). Daca in loc de OpenVPN folosesc un tunel IPIP problema e rezolvata. Incerc sa dau ceva detalii fara sa creez un cearsaf, mai pot reveni cu suplimentari daca e cazul. 172.24.100.254 e HOST-ul pe care vreau sa-l rutez prin vpn 10.13.0.2 e GW-ul pe care e configurat iproute2 10.13.0.1 e P3 10.111.0.0/24 e clasa de vpn intre GW si P3 (10.111.0.4 e pe P3) ========== CONFIG OpenVPN Server (GW) ========== port 1194 proto udp dev tun ca keys/ca.crt cert keys/server.crt key keys/server.key # This file should be kept secret dh keys/dh2048.pem topology subnet server 10.111.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "route 172.24.100.0 255.255.255.0" keepalive 10 120 tls-auth keys/ta.key 0 # This file is secret cipher AES-256-CBC persist-key persist-tun status openvpn-status.log log-append /var/log/openvpn.log verb 3 ================================================== ========== CONFIG OpenVPN Client (P3) ========== client dev tun proto udp remote 10.13.0.2 1194 resolv-retry infinite nobind persist-key persist-tun ca client/ca.crt cert client/client.crt key client/client.key remote-cert-tls server tls-auth client/ta.key 1 cipher AES-256-CBC verb 3 ================================================== Legat de iproute2 eu zic ca e totul functional, asa cum vad si in rute: [root@IPR2-GW ~]# ip route get to 8.8.8.8 from 172.24.100.254 iif eth3 8.8.8.8 from 172.24.100.254 via 10.111.0.4 dev tun0 cache iif * Dar nu vad niciun pachet venind dinspre GW catre interfata de vpn de pe P3. Folosind un tunel IPIP simplu cu aceleasi ip-uri, interfete etc: Pe GW: ip tunnel add tun0 mode ipip remote 10.13.0.1 local 10.13.0.2 ip link set tun0 up ip addr add 10.111.0.1/24 dev tun0 Pe P3: ip tunnel add tun0 mode ipip remote 10.13.0.2 local 10.13.0.1 ip link set tun0 up ip addr add 10.111.0.4/24 dev tun0 totul functioneaza foarte bine, vad pachetele pe interfata de tunneling de pe P3, mai departe pot face ce vreau cu traficul respectiv. Configuratia de OpenVPN e simpla/clasica, nu-mi dau seama ce vrea de la mine ca sa nu imi blocheze acel trafic. Daca aveti idei va rog sa mi le impartasiti, eu m-am saturat de facut tot felul de teste :-) Mersi, -- Catalin Bucur _______________________________________________ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug